SlideShare a Scribd company logo
1 of 27
Download to read offline
Segurança dos Sistemas de Informação
Parte I Gomes da Silva
Prof. Rodrigo
Engenharia Social


O que é Engenharia Social?
Engenharia Social

A Engenharia Social, de maneira simples, caracteriza-se por
  explorar a fragilidade das pessoas. Em outras palavras,
  consiste na habilidade de obter informações ou acesso
  indevido a determinado ambiente ou sistema, utilizando
  técnicas de persuasão (Vargas,2002).
Engenharia Social

O dito popular “jogar verde pra colher maduro” define bem
  o tema. Quem nunca se viu envolvido sendo questionado
  sobre um determinado assunto e, quando se deu conta, já
  tinha “entregue o ouro pro bandido?” Isso quando a
  pessoa se dá conta; muitas vezes ela fala e nem percebe o
  conteúdo do que foi dito.
Engenharia Social

Características:
• Ataques altamente eficazes
• Custo relativamente baixo
• Muitas empresas e pessoas não percebem que foram
  atacados
• Na maioria das vezes, pessoas atacadas não admitem
Engenharia Social

Características:
• Formas variadas de ataque que explorama a fragilidade e
  a ingenuidade das pessoas

Tipos de Ataques:
• Físico: local de trabalho, telefone, lixo, etc
• Psicológico: maneira como o ataque é executado,
pesuasão
Engenharia Social

Local de Trabalho :
Nomes, lista de ramais, endereços eletrônicos,
  organogramas e outros dados da empresa, comumente
  ficam expostos em lugares onde transitam pessoas
  estranhas. Um hacker pode simplesmente entrar na
  empresa como se fosse um técnico em manutenção ou
  consultor que tem livre acesso às dependências da
  empresa e, enquanto caminha pelos corredores, pode
  ir captando todas estas informações que porventura
  estejam expostas (Maia,2002).
Engenharia Social

Por Telefone:
Esta modalidade de ataque vai desde roubar informações
  de funcionários ingênuos até a clonagem ou grampo
  telefônico. Um hacker chega na empresa passando-se
  por um técnico que fará manutenção da central
  telefônica e, em seguida, desvia uma linha de onde
  pode efetuar ligações para qualquer parte do mundo,
  ou então pode grampear os telefones de algum
  executivo.
Engenharia Social

Lixo:
O lixo das empresas pode ser uma fonte muito rica de
   informações para um hacker. Vasculhar o lixo, é um
   método muito usado pelos invasores, porque é comum
   encontrarmos itens como cadernetas com telefones,
   organograma da empresa, manuais de sistemas
   utilizados, memorandos, relatórios com informações
   estratégicas, apólices de seguro e até anotações com
   login e senha de usuários.
Engenharia Social

Lixo:
As listas telefônicas podem fornecer os nomes e
  números das pessoas-alvo, o organograma mostra
  quem são as pessoas que estão no comando, as
  apólices mostram o quanto a empresa é segura ou
  insegura, os manuais dos sistemas ensinam como
  acessar as informações e assim todo e qualquer lixo
  poderá ser de grande valia para uma pessoa mal
  intencionada (Granger,2001).
Engenharia Social

Desafio das Senhas:
As senhas são os principais pontos fracos das empresas.
  É comum as pessoas dividirem senhas com outras ou
  escolherem senhas fracas, sem a menor preocupação.
  Muitos usam como senha, palavras que existem em
  todos os dicionários, seus apelidos, ou até mesmo o
  próprio nome que, com um software5 gerenciador de
  senhas, é possível decifrá-las em
  segundos(Virinfo,2002). Segundo Kevin Mitnick
  (2001), elas chegam a representar 70% do total de
  senhas utilizadas nas empresas.
Engenharia Social

Engenharia Social online:
Talvez a maneira mais fácil de se conseguir um acesso é
  através da internet6. A displicência dos usuários que
  criam senhas fáceis de serem descobertas, que ficam
  longos períodos sem alterá-las, e ainda utilizam a
  mesma senha para acesso a várias contas, torna o
  ataque mais simples.
Engenharia Social

Engenharia Social online:
As salas de bate-papo também são um canal explorado
  para o roubo de informações. Homens e mulheres se
  dizem jovens, atraentes e de bom papo. Na verdade
  podem ser farsantes que manipulam os sentimentos
  das pessoas em busca de informações (Maia,2002).
Engenharia Social

Engenharia Social online:
Os e-mails também podem ser usados como meio para
  conseguir acesso a um sistema. Por exemplo, um e-
  mail enviado para alguém pode conter um vírus de
  computador ou cavalos de tróia8, que, quando
  instalados no computador da vítima, podem destruir
  todas as informações, ou simplesmente ficar ocultos e
  transmitindo ao invasor todo tipo de informação
  como, senhas, números de cartão de crédito, ou
  mesmo abrir o firewall da empresa, deixando-a
  vulnerável a qualquer tipo de ataque (Granger,2001).
Engenharia Social

Persuasão:
Os próprios hackers vêem a engenharia social de um ponto de vista
   psicológico, enfatizando como criar o ambiente psicológico
   perfeito para um ataque. Os métodos básicos de persuasão são:
   personificação, insinuação, conformidade, difusão de
   responsabilidade e a velha amizade.


Independente do método usado, o objetivo principal é convencer a
   pessoa que dará a informação, de que o engenheiro social é, de
   fato uma pessoa a quem ela pode confiar as informações
   prestadas.
Engenharia Social

Persuasão:
Personificação geralmente significa criar algum tipo de personagem
   e representar um papel. Quanto mais simples esse papel, melhor.
   Às vezes, isto pode ser apenas ligar para alguém e dizer: “Oi, eu
   sou Marcos do setor de informática e preciso da sua senha”. Mas
   isto nem sempre funciona.

Outra tática comum que pode ser utilizada num ataque de
  personificação é o hacker se passar por assistente da gerência
  ou mesmo presidência e pedir a um funcionário, em nome do seu
  superior, alguma informação. Para não criar atritos com seu
  superior, o usuário fornece as informações sem muitos
  questionamentos.
Engenharia Social

Persuasão:
Quando em dúvida, a melhor maneira de obter informação no
  ataque de engenharia social é ser amigável. O local para
  abordagem não necessariamente precisa ser na empresa; pode ser
  num clube ou numa mesa de bar. O hacker só precisa conquistar
  a confiança do funcionário alvo, a ponto de convencê-lo a
  prestar “toda a ajuda solicitada”. Além disso, a maioria dos
  funcionários responde bem a gentilezas, especialmente as
  mulheres. Uma bajulação pode ajudar a convencer o
  funcionário alvo a cooperar no futuro. Um hacker esperto sabe
  quando parar de extrair informações antes que a vítima suspeite
  que está sendo alvo de um ataque (Granger,2001).
Engenharia Social

Engenharia Social Inversa:
Isto ocorre quando um hacker cria uma personalidade que aparece
    numa posição de autoridade, de modo que todos os usuários lhe
    pedirão informação. Se pesquisados, planejados e bem
    executados, os ataques de engenharia social inversa permitem
    ao hacker extrair dos funcionários informações muito valiosas;
    entretanto, isto requer muita preparação e pesquisa.
Engenharia Social

Engenharia Social Inversa:
Isto ocorre quando um hacker cria uma personalidade que aparece
    numa posição de autoridade, de modo que todos os usuários lhe
    pedirão informação. Se pesquisados, planejados e bem
    executados, os ataques de engenharia social inversa permitem
    ao hacker extrair dos funcionários informações muito valiosas;
    entretanto, isto requer muita preparação e pesquisa.
Engenharia Social

Engenharia Social Inversa:
Os três métodos de ataques de engenharia social inversa são,
   sabotagem, propaganda e ajuda. Na sabotagem, o hacker causa
   problemas na rede, então divulga que possui a solução para
   este, e se propõe a solucioná-lo. Na expectativa de ver a falha
   corrigida, os funcionários passam para o hacker todas as
   informações por ele solicitadas. Após atingir o seu objetivo, o
   hacker elimina a falha e a rede volta funcionar normalmente.
   Resolvido o problema os funcionários sentem-se satisfeitos e
   jamais desconfiarão que foram alvos de um hacker
   (Granger,2001).
Engenharia Social
Engenharia Social
O que Fazer?
Engenharia Social

Formas de Prevenção:
Para amenizar estes riscos, é recomendável que as empresas criem
   políticas de segurança centralizada e bem divulgada, para que
   todos os seus colaboradores saibam como proteger as
   informações que estão em seu poder.

As intranets podem ser um recurso valioso para esta divulgação,
   assim como boletins periódicos on-line, lembretes no correio
   eletrônico, requisitos de mudança de senha e treinamento.
Engenharia Social

Formas de Prevenção:
O maior risco é de os funcionários tornarem-se complacentes e
   relaxarem na segurança; por isso a importância da insistência
   (Granger,2002).

O treinamento deve estender-se por toda a empresa. Diretores,
   gerentes, supervisores, e demais funcionários, todos devem ser
   treinados. Nestes treinamentos devem ser exploradas as táticas
   comuns de intromissão e as estratégias de prevenção. Quando
   alguém captar sinais de um ataque, deve imediatamente alertar
   os demais, para que não sejam também abordados.
PÁGINA DE TRANSIÇÃO
Modelo fornecido por




      www.animationfactory.com

500.000 modelos do PowerPoint, clip-art animado,
     planos de fundo e vídeos para download

More Related Content

What's hot

Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informaçãoRodrigo Gomes da Silva
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidadesHumberto Xavier
 
Hackeando Mentes - Engenharia Social
Hackeando Mentes - Engenharia SocialHackeando Mentes - Engenharia Social
Hackeando Mentes - Engenharia SocialBruno Alexandre
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
Engenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaEngenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaRafael Magri Gedra
 
Apresentação Senac - FLISOL - TO 2012
Apresentação Senac - FLISOL - TO 2012Apresentação Senac - FLISOL - TO 2012
Apresentação Senac - FLISOL - TO 2012Anderson Menezes
 
Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece? Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece? Spark Security
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...Cleyton Kano
 

What's hot (20)

Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
Segurança dos sistemas de informação
Segurança dos sistemas de informaçãoSegurança dos sistemas de informação
Segurança dos sistemas de informação
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
Hackeando Mentes - Engenharia Social
Hackeando Mentes - Engenharia SocialHackeando Mentes - Engenharia Social
Hackeando Mentes - Engenharia Social
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
Engenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade HumanaEngenharia Social: Explorando a Vulnerabilidade Humana
Engenharia Social: Explorando a Vulnerabilidade Humana
 
Apresentação Senac - FLISOL - TO 2012
Apresentação Senac - FLISOL - TO 2012Apresentação Senac - FLISOL - TO 2012
Apresentação Senac - FLISOL - TO 2012
 
Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece? Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece?
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
Estudo De Viabilidade Na Utilização De Ferramente De Mineração De Dados Como ...
 
Aula import seg
Aula import segAula import seg
Aula import seg
 
Guerra De Comando E Controle Final
Guerra De Comando E Controle FinalGuerra De Comando E Controle Final
Guerra De Comando E Controle Final
 
Segurança da informação - Maio 2011
Segurança da informação - Maio 2011Segurança da informação - Maio 2011
Segurança da informação - Maio 2011
 
Palestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresPalestra Segurança da Informação e Servidores
Palestra Segurança da Informação e Servidores
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 

Viewers also liked

Engenharia Social: Amiguinhos Virtuais, Ameaças Reais
Engenharia Social: Amiguinhos Virtuais, Ameaças ReaisEngenharia Social: Amiguinhos Virtuais, Ameaças Reais
Engenharia Social: Amiguinhos Virtuais, Ameaças ReaisRafael Jaques
 
Entendendo a Engenharia Social
Entendendo a Engenharia SocialEntendendo a Engenharia Social
Entendendo a Engenharia SocialDaniel Marques
 
DoS: Negação de Serviço e formas de defesa - Elgio Schlemer
DoS: Negação de Serviço e formas de defesa - Elgio SchlemerDoS: Negação de Serviço e formas de defesa - Elgio Schlemer
DoS: Negação de Serviço e formas de defesa - Elgio SchlemerTchelinux
 
Hackeando Mentes - Engenharia social
Hackeando Mentes - Engenharia social Hackeando Mentes - Engenharia social
Hackeando Mentes - Engenharia social Abraão Állysson
 
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO Diego Souza
 
Segurança da informação nas redes sociais
Segurança da informação nas redes sociaisSegurança da informação nas redes sociais
Segurança da informação nas redes sociaisMilena Gonçalves
 
Como Lidar com a Mente
Como Lidar com a MenteComo Lidar com a Mente
Como Lidar com a MenteDora Guiseline
 
Apostila para hackers iniciantes
Apostila para hackers iniciantesApostila para hackers iniciantes
Apostila para hackers iniciantesponto hacker
 
Como iniciar e manter conversas com pessoas desconhecidas
Como iniciar e manter conversas com pessoas desconhecidasComo iniciar e manter conversas com pessoas desconhecidas
Como iniciar e manter conversas com pessoas desconhecidasAres_Bruno
 
Técnicas hacker soluções para segurança 1
Técnicas hacker soluções para segurança 1Técnicas hacker soluções para segurança 1
Técnicas hacker soluções para segurança 1ponto hacker
 
Livro curso de_hacker_para_iniciantes_cap_1
Livro curso de_hacker_para_iniciantes_cap_1Livro curso de_hacker_para_iniciantes_cap_1
Livro curso de_hacker_para_iniciantes_cap_1Alax Ricard
 
Gatilhos Mentais: o que são e como aplicar
Gatilhos Mentais: o que são e como aplicarGatilhos Mentais: o que são e como aplicar
Gatilhos Mentais: o que são e como aplicarMateada
 
Engenharia Social: A Doce Arte de Hackear Mentes
Engenharia Social: A Doce Arte de Hackear MentesEngenharia Social: A Doce Arte de Hackear Mentes
Engenharia Social: A Doce Arte de Hackear MentesRafael Jaques
 

Viewers also liked (18)

Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
 
Engenharia Social: Amiguinhos Virtuais, Ameaças Reais
Engenharia Social: Amiguinhos Virtuais, Ameaças ReaisEngenharia Social: Amiguinhos Virtuais, Ameaças Reais
Engenharia Social: Amiguinhos Virtuais, Ameaças Reais
 
Entendendo a Engenharia Social
Entendendo a Engenharia SocialEntendendo a Engenharia Social
Entendendo a Engenharia Social
 
10 Estratégias de Manipulação
10 Estratégias de Manipulação10 Estratégias de Manipulação
10 Estratégias de Manipulação
 
DoS: Negação de Serviço e formas de defesa - Elgio Schlemer
DoS: Negação de Serviço e formas de defesa - Elgio SchlemerDoS: Negação de Serviço e formas de defesa - Elgio Schlemer
DoS: Negação de Serviço e formas de defesa - Elgio Schlemer
 
Hackeando Mentes - Engenharia social
Hackeando Mentes - Engenharia social Hackeando Mentes - Engenharia social
Hackeando Mentes - Engenharia social
 
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA  SEGURANÇA DA INFORMAÇÃO
ENGENHARIA SOCIAL: EXPLORANDO O ELO MAIS FRACO DA SEGURANÇA DA INFORMAÇÃO
 
Segurança em redes sociais
Segurança em redes sociaisSegurança em redes sociais
Segurança em redes sociais
 
Segurança da informação nas redes sociais
Segurança da informação nas redes sociaisSegurança da informação nas redes sociais
Segurança da informação nas redes sociais
 
Como Lidar com a Mente
Como Lidar com a MenteComo Lidar com a Mente
Como Lidar com a Mente
 
Apostila para hackers iniciantes
Apostila para hackers iniciantesApostila para hackers iniciantes
Apostila para hackers iniciantes
 
Mentalismo multiplo
Mentalismo multiploMentalismo multiplo
Mentalismo multiplo
 
Como iniciar e manter conversas com pessoas desconhecidas
Como iniciar e manter conversas com pessoas desconhecidasComo iniciar e manter conversas com pessoas desconhecidas
Como iniciar e manter conversas com pessoas desconhecidas
 
Técnicas hacker soluções para segurança 1
Técnicas hacker soluções para segurança 1Técnicas hacker soluções para segurança 1
Técnicas hacker soluções para segurança 1
 
Livro curso de_hacker_para_iniciantes_cap_1
Livro curso de_hacker_para_iniciantes_cap_1Livro curso de_hacker_para_iniciantes_cap_1
Livro curso de_hacker_para_iniciantes_cap_1
 
Gatilhos Mentais: o que são e como aplicar
Gatilhos Mentais: o que são e como aplicarGatilhos Mentais: o que são e como aplicar
Gatilhos Mentais: o que são e como aplicar
 
25 maneiras de influenciar pessoas
25 maneiras de influenciar pessoas25 maneiras de influenciar pessoas
25 maneiras de influenciar pessoas
 
Engenharia Social: A Doce Arte de Hackear Mentes
Engenharia Social: A Doce Arte de Hackear MentesEngenharia Social: A Doce Arte de Hackear Mentes
Engenharia Social: A Doce Arte de Hackear Mentes
 

Similar to Segurança dos sistemas de informação

ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfHelenaReis48
 
Artigo engenharia social
Artigo engenharia socialArtigo engenharia social
Artigo engenharia socialEmbratel
 
Hackeando Cérebros Explorando o elo mais fraco da segurança.
Hackeando Cérebros Explorando o elo mais fraco da segurança.Hackeando Cérebros Explorando o elo mais fraco da segurança.
Hackeando Cérebros Explorando o elo mais fraco da segurança.GDGFoz
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
Introdução à Cibersegurança.pdf
Introdução à Cibersegurança.pdfIntrodução à Cibersegurança.pdf
Introdução à Cibersegurança.pdfDanielSantos740668
 
Aula02 conceitos de segurança
Aula02   conceitos de segurançaAula02   conceitos de segurança
Aula02 conceitos de segurançaCarlos Veiga
 
Palestra Segurança da Informação
Palestra Segurança da InformaçãoPalestra Segurança da Informação
Palestra Segurança da Informaçãomastroianni oliveira
 
Apresentação backgorundhacker
Apresentação backgorundhackerApresentação backgorundhacker
Apresentação backgorundhackergiovannimonaro
 
Introdução à Cibersegurança curso.pdf
Introdução à Cibersegurança curso.pdfIntrodução à Cibersegurança curso.pdf
Introdução à Cibersegurança curso.pdfWilliamMagalhaes15
 
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...TI Safe
 
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informática
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informáticaTcvb2 andre borges_joao_rodriges_nº1/13_segurança_informática
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informáticaAndré bogas
 
Glossário de segurança
Glossário de segurançaGlossário de segurança
Glossário de segurançaTrabalhosCVIGR
 
Glossário de segurança
Glossário de segurançaGlossário de segurança
Glossário de segurançaTrabalhosCVIGR
 

Similar to Segurança dos sistemas de informação (20)

FIREWALL 04.pptx
FIREWALL 04.pptxFIREWALL 04.pptx
FIREWALL 04.pptx
 
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdfENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
ENGENHARIA_SOCIAL_Um_Perigo_Eminente.pdf
 
Engenharia Social.docx
Engenharia Social.docxEngenharia Social.docx
Engenharia Social.docx
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
Artigo engenharia social
Artigo engenharia socialArtigo engenharia social
Artigo engenharia social
 
Hackers
HackersHackers
Hackers
 
Hackeando Cérebros Explorando o elo mais fraco da segurança.
Hackeando Cérebros Explorando o elo mais fraco da segurança.Hackeando Cérebros Explorando o elo mais fraco da segurança.
Hackeando Cérebros Explorando o elo mais fraco da segurança.
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
Introdução à Cibersegurança.pdf
Introdução à Cibersegurança.pdfIntrodução à Cibersegurança.pdf
Introdução à Cibersegurança.pdf
 
Aula 1 semana
Aula 1 semanaAula 1 semana
Aula 1 semana
 
Aula02 conceitos de segurança
Aula02   conceitos de segurançaAula02   conceitos de segurança
Aula02 conceitos de segurança
 
Palestra Segurança da Informação
Palestra Segurança da InformaçãoPalestra Segurança da Informação
Palestra Segurança da Informação
 
Hacker Profissional
Hacker ProfissionalHacker Profissional
Hacker Profissional
 
Apresentação backgorundhacker
Apresentação backgorundhackerApresentação backgorundhacker
Apresentação backgorundhacker
 
Introdução à Cibersegurança curso.pdf
Introdução à Cibersegurança curso.pdfIntrodução à Cibersegurança curso.pdf
Introdução à Cibersegurança curso.pdf
 
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
CLASS 2022 - Luiz Fernando Roth e Matheus Tourinho - Ataques Cibernéticos a A...
 
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informática
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informáticaTcvb2 andre borges_joao_rodriges_nº1/13_segurança_informática
Tcvb2 andre borges_joao_rodriges_nº1/13_segurança_informática
 
Glossário de segurança
Glossário de segurançaGlossário de segurança
Glossário de segurança
 
Glossário de segurança
Glossário de segurançaGlossário de segurança
Glossário de segurança
 
Aula de seguranca (1)
Aula de seguranca (1)Aula de seguranca (1)
Aula de seguranca (1)
 

More from Rodrigo Gomes da Silva

More from Rodrigo Gomes da Silva (14)

BABOK - Visão Geral
BABOK - Visão GeralBABOK - Visão Geral
BABOK - Visão Geral
 
Análise de negócios para curiosos
Análise de negócios para curiososAnálise de negócios para curiosos
Análise de negócios para curiosos
 
Gerenciamento de Requisitos de Software
Gerenciamento de Requisitos de SoftwareGerenciamento de Requisitos de Software
Gerenciamento de Requisitos de Software
 
Es 04 desenvolvimento de software dirigido por casos de uso - parte iii
Es 04   desenvolvimento de software dirigido por casos de uso - parte iiiEs 04   desenvolvimento de software dirigido por casos de uso - parte iii
Es 04 desenvolvimento de software dirigido por casos de uso - parte iii
 
Es 02 desenvolvimento de software dirigido por casos de uso - parte i
Es 02   desenvolvimento de software dirigido por casos de uso - parte iEs 02   desenvolvimento de software dirigido por casos de uso - parte i
Es 02 desenvolvimento de software dirigido por casos de uso - parte i
 
PHP Orientado a Objetos
PHP Orientado a ObjetosPHP Orientado a Objetos
PHP Orientado a Objetos
 
Introdução ao RUP
Introdução ao RUPIntrodução ao RUP
Introdução ao RUP
 
Introdução à UML com Casos de Uso
Introdução à UML com Casos de UsoIntrodução à UML com Casos de Uso
Introdução à UML com Casos de Uso
 
Computacao na 01_introdução
Computacao na 01_introduçãoComputacao na 01_introdução
Computacao na 01_introdução
 
Aula inaugural computação
Aula inaugural computaçãoAula inaugural computação
Aula inaugural computação
 
Comércio eletrônico
Comércio eletrônicoComércio eletrônico
Comércio eletrônico
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Pirataria de software
Pirataria de softwarePirataria de software
Pirataria de software
 
Asi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacao
Asi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacaoAsi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacao
Asi na 01_conquistando_vantagem_competitiva_com_os_sistemas_de_informacao
 

Segurança dos sistemas de informação

  • 1. Segurança dos Sistemas de Informação Parte I Gomes da Silva Prof. Rodrigo
  • 2. Engenharia Social O que é Engenharia Social?
  • 3. Engenharia Social A Engenharia Social, de maneira simples, caracteriza-se por explorar a fragilidade das pessoas. Em outras palavras, consiste na habilidade de obter informações ou acesso indevido a determinado ambiente ou sistema, utilizando técnicas de persuasão (Vargas,2002).
  • 4. Engenharia Social O dito popular “jogar verde pra colher maduro” define bem o tema. Quem nunca se viu envolvido sendo questionado sobre um determinado assunto e, quando se deu conta, já tinha “entregue o ouro pro bandido?” Isso quando a pessoa se dá conta; muitas vezes ela fala e nem percebe o conteúdo do que foi dito.
  • 5. Engenharia Social Características: • Ataques altamente eficazes • Custo relativamente baixo • Muitas empresas e pessoas não percebem que foram atacados • Na maioria das vezes, pessoas atacadas não admitem
  • 6. Engenharia Social Características: • Formas variadas de ataque que explorama a fragilidade e a ingenuidade das pessoas Tipos de Ataques: • Físico: local de trabalho, telefone, lixo, etc • Psicológico: maneira como o ataque é executado, pesuasão
  • 7. Engenharia Social Local de Trabalho : Nomes, lista de ramais, endereços eletrônicos, organogramas e outros dados da empresa, comumente ficam expostos em lugares onde transitam pessoas estranhas. Um hacker pode simplesmente entrar na empresa como se fosse um técnico em manutenção ou consultor que tem livre acesso às dependências da empresa e, enquanto caminha pelos corredores, pode ir captando todas estas informações que porventura estejam expostas (Maia,2002).
  • 8. Engenharia Social Por Telefone: Esta modalidade de ataque vai desde roubar informações de funcionários ingênuos até a clonagem ou grampo telefônico. Um hacker chega na empresa passando-se por um técnico que fará manutenção da central telefônica e, em seguida, desvia uma linha de onde pode efetuar ligações para qualquer parte do mundo, ou então pode grampear os telefones de algum executivo.
  • 9. Engenharia Social Lixo: O lixo das empresas pode ser uma fonte muito rica de informações para um hacker. Vasculhar o lixo, é um método muito usado pelos invasores, porque é comum encontrarmos itens como cadernetas com telefones, organograma da empresa, manuais de sistemas utilizados, memorandos, relatórios com informações estratégicas, apólices de seguro e até anotações com login e senha de usuários.
  • 10. Engenharia Social Lixo: As listas telefônicas podem fornecer os nomes e números das pessoas-alvo, o organograma mostra quem são as pessoas que estão no comando, as apólices mostram o quanto a empresa é segura ou insegura, os manuais dos sistemas ensinam como acessar as informações e assim todo e qualquer lixo poderá ser de grande valia para uma pessoa mal intencionada (Granger,2001).
  • 11. Engenharia Social Desafio das Senhas: As senhas são os principais pontos fracos das empresas. É comum as pessoas dividirem senhas com outras ou escolherem senhas fracas, sem a menor preocupação. Muitos usam como senha, palavras que existem em todos os dicionários, seus apelidos, ou até mesmo o próprio nome que, com um software5 gerenciador de senhas, é possível decifrá-las em segundos(Virinfo,2002). Segundo Kevin Mitnick (2001), elas chegam a representar 70% do total de senhas utilizadas nas empresas.
  • 12. Engenharia Social Engenharia Social online: Talvez a maneira mais fácil de se conseguir um acesso é através da internet6. A displicência dos usuários que criam senhas fáceis de serem descobertas, que ficam longos períodos sem alterá-las, e ainda utilizam a mesma senha para acesso a várias contas, torna o ataque mais simples.
  • 13. Engenharia Social Engenharia Social online: As salas de bate-papo também são um canal explorado para o roubo de informações. Homens e mulheres se dizem jovens, atraentes e de bom papo. Na verdade podem ser farsantes que manipulam os sentimentos das pessoas em busca de informações (Maia,2002).
  • 14. Engenharia Social Engenharia Social online: Os e-mails também podem ser usados como meio para conseguir acesso a um sistema. Por exemplo, um e- mail enviado para alguém pode conter um vírus de computador ou cavalos de tróia8, que, quando instalados no computador da vítima, podem destruir todas as informações, ou simplesmente ficar ocultos e transmitindo ao invasor todo tipo de informação como, senhas, números de cartão de crédito, ou mesmo abrir o firewall da empresa, deixando-a vulnerável a qualquer tipo de ataque (Granger,2001).
  • 15. Engenharia Social Persuasão: Os próprios hackers vêem a engenharia social de um ponto de vista psicológico, enfatizando como criar o ambiente psicológico perfeito para um ataque. Os métodos básicos de persuasão são: personificação, insinuação, conformidade, difusão de responsabilidade e a velha amizade. Independente do método usado, o objetivo principal é convencer a pessoa que dará a informação, de que o engenheiro social é, de fato uma pessoa a quem ela pode confiar as informações prestadas.
  • 16. Engenharia Social Persuasão: Personificação geralmente significa criar algum tipo de personagem e representar um papel. Quanto mais simples esse papel, melhor. Às vezes, isto pode ser apenas ligar para alguém e dizer: “Oi, eu sou Marcos do setor de informática e preciso da sua senha”. Mas isto nem sempre funciona. Outra tática comum que pode ser utilizada num ataque de personificação é o hacker se passar por assistente da gerência ou mesmo presidência e pedir a um funcionário, em nome do seu superior, alguma informação. Para não criar atritos com seu superior, o usuário fornece as informações sem muitos questionamentos.
  • 17. Engenharia Social Persuasão: Quando em dúvida, a melhor maneira de obter informação no ataque de engenharia social é ser amigável. O local para abordagem não necessariamente precisa ser na empresa; pode ser num clube ou numa mesa de bar. O hacker só precisa conquistar a confiança do funcionário alvo, a ponto de convencê-lo a prestar “toda a ajuda solicitada”. Além disso, a maioria dos funcionários responde bem a gentilezas, especialmente as mulheres. Uma bajulação pode ajudar a convencer o funcionário alvo a cooperar no futuro. Um hacker esperto sabe quando parar de extrair informações antes que a vítima suspeite que está sendo alvo de um ataque (Granger,2001).
  • 18. Engenharia Social Engenharia Social Inversa: Isto ocorre quando um hacker cria uma personalidade que aparece numa posição de autoridade, de modo que todos os usuários lhe pedirão informação. Se pesquisados, planejados e bem executados, os ataques de engenharia social inversa permitem ao hacker extrair dos funcionários informações muito valiosas; entretanto, isto requer muita preparação e pesquisa.
  • 19. Engenharia Social Engenharia Social Inversa: Isto ocorre quando um hacker cria uma personalidade que aparece numa posição de autoridade, de modo que todos os usuários lhe pedirão informação. Se pesquisados, planejados e bem executados, os ataques de engenharia social inversa permitem ao hacker extrair dos funcionários informações muito valiosas; entretanto, isto requer muita preparação e pesquisa.
  • 20. Engenharia Social Engenharia Social Inversa: Os três métodos de ataques de engenharia social inversa são, sabotagem, propaganda e ajuda. Na sabotagem, o hacker causa problemas na rede, então divulga que possui a solução para este, e se propõe a solucioná-lo. Na expectativa de ver a falha corrigida, os funcionários passam para o hacker todas as informações por ele solicitadas. Após atingir o seu objetivo, o hacker elimina a falha e a rede volta funcionar normalmente. Resolvido o problema os funcionários sentem-se satisfeitos e jamais desconfiarão que foram alvos de um hacker (Granger,2001).
  • 24. Engenharia Social Formas de Prevenção: Para amenizar estes riscos, é recomendável que as empresas criem políticas de segurança centralizada e bem divulgada, para que todos os seus colaboradores saibam como proteger as informações que estão em seu poder. As intranets podem ser um recurso valioso para esta divulgação, assim como boletins periódicos on-line, lembretes no correio eletrônico, requisitos de mudança de senha e treinamento.
  • 25. Engenharia Social Formas de Prevenção: O maior risco é de os funcionários tornarem-se complacentes e relaxarem na segurança; por isso a importância da insistência (Granger,2002). O treinamento deve estender-se por toda a empresa. Diretores, gerentes, supervisores, e demais funcionários, todos devem ser treinados. Nestes treinamentos devem ser exploradas as táticas comuns de intromissão e as estratégias de prevenção. Quando alguém captar sinais de um ataque, deve imediatamente alertar os demais, para que não sejam também abordados.
  • 27. Modelo fornecido por www.animationfactory.com 500.000 modelos do PowerPoint, clip-art animado, planos de fundo e vídeos para download